Переход на HTTPS. Зачем это нужно?

23.12.2016 18:20:00
20161223T182000Z
20190719T155134Z

Начиная с 2017 года браузер Google Chrome будет помечать веб-сайты, которые используют HTTP-подключение, как небезопасные, а Яндекс.Браузер начал это делать уже сейчас


Сначала предупреждения будут всплывать на сайтах, в которых есть поля для ввода пароля или данных банковских карт, затем изменения распространятся на все сайты, работающие по HTTP-подключению, в том числе в режиме Инкогнито. Кроме того, сайты на HTTPS будут ранжироваться в поисковой выдаче выше, нежели сайты HTTP.


Эти изменения будут проведены, чтобы защитить пользователей от хищения личных данных, ведь HTTP — небезопасное подключение.


В чем разница между HTTP и HTTPS?


HTTP — (англ. HyperText Transfer Protocol — «протокол передачи гипертекста») — простой протокол передачи данных, используемый для получения информации с веб-сайтов. Он передает данные незащищенными, из-за чего пароль и сведения о банковских картах могут быть перехвачены злоумышленниками.


HTTPS — это расширение HTTP, шифрующее данные. Шифрование происходит с помощью протокола SSL, обеспечивающего защищенную передачу информации. Он упаковывает ваши данные в надежную “оболочку” и передает их на сервер.


Для уверенности в получателе на сервере должен быть установлен доверенный SSL-сертификат. Это электронный документ, подтверждающий существование лица, которому вы передаете свои данные и принадлежность сервера этому лицу.


SSL-сертификаты выдаются специальными центрами, которые выступают в роли паспортных столов. В сертификате содержатся данные о владельце, в том числе имя (или название организации), а также подпись, удостоверяющая подлинность документа. Таким образом, при HTTPS-подключении первое, что делает браузер — проверяет подлинность сертификата и только после этого разрешает обмен данными.


Далее все происходит по следующей схеме: на ваши данные вешается некий “замок”, ключ от которого есть только у вас. Они доходят до нужного сервера, который вешает на ваши данные свой “замок”. Затем они передаются обратно вам, вы открываете свой замок своим ключом и передаете информацию обратно на сервер, который отпирает свой замок и получает данные. Таким образом никто не перехватит ваши данные в пути “браузер-сервер”.


blog-image-2.png


SSL-сертификаты бывают доверительными (Trusted) и недоверительными или самоподписанными (Self-Signed).


Доверительные проверены компанией, которая имеет право на осуществление такой деятельности (центром сертификации). Самоподписанные никем не подтверждены и не гарантируют защищенность данных. Все браузеры предупреждают об опасности такого соединения. Существуют центры сертификации, которые продают сертификаты без проверок, они считаются подписанными недоверенным ЦС и браузер так же реагирует на них предупреждением об опасности.


SSL-сертификаты могут быть нескольких типов:


Essential SSL — недорогой и быстро оформляемый. Доступен для юридических и физических лиц. Проверяется только право владения доменным именем, а личные данные или регистрация компании не проверяются. В браузере отображается желтой строкой, что не вызывает доверия пользователей. Выдается на 1 домен.


Instant SSL — доступен для физических и юридических лиц. Проверяется право владения доменом, регистрационные данные компании или личность физлица. Выдается на 1 домен.


Обычный Wildcard — тоже самое, что и обычный сертификат, но выдается на 1 домен и на все поддомены. То есть не только на example.com, a и на www.example.com, bill.example.com и так далее.


EV (Extended Validation) — сертификат расширенной проверки, доступен только юридическим лицам. Проверяется владение доменом, компания, нотариально заверенные переводы документов на английский язык, требует подтверждения данных третьей стороной. Позволяет установить на сайте картинку-подтверждение владением и отображается в браузерах как гарантированно доверенный (зеленым цветом), в отличие от желтого у обычных сертификатов. Стоит в 2-3 раза дороже, регистрация занимает продолжительное время.


Instant и Essential — эти сертификаты для сайтов частных лиц и организаций, не связанных с электронной коммерцией.


Extended Validation — для сайтов, связанных с финансами и услугами (интернет-банкинг, платежные системы, интернет-магазины и прочее).


Перевод ресурса на протокол HTTPS не сложен технически, но требует знаний и навыков. Занять он может около 3-10 дней. Рекомендуем не затягивать этот процесс, ведь с последствиями вы столкнетесь сразу после начала нового года.

Ольга Данилина

Менеджер по продукту
Все статьи